ATOM ONE agent a další možnosti sběru dat

V rámci služby ATOM ONE zpracováváme nemalé informací, díky kterým jsme schopni předcházet bezpečnostním incidentům, poskytovat zákazníkům pohledy na stav jejich prostředí a na základě těchto informací také dodat vhodná doporučení.

Kde se ovšem tyto informace ve službě ATOM ONE berou? V tuto chvíli zpracováváme primárně informace z následující datových zdrojů:

• Office 365,
• Logy aktivit Microsoft Azure,
• Azure Active Directory,
• Azure Security Center,
• Microsoft Defender Advanced Threat Protection,
• ATOM ONE Gateway,
• ATOM ONE Agent.

Obrázek 1: Datové zdroje služby ATOM ONE

Právě o posledním zmíněném bude dnešní článek. ATOM ONE Agent je jedním ze základních stavebních kamenů celé služby a jak již jeho název napovídá, jeho úkolem je zajistit dohled konkrétního systému, na kterém je nainstalovaný. Může se v tomto případě jednat jak o servery s operačním systémem Windows Server, tak i s podporovanou distribucí Linux. Pokud se jedná o podporovaný systém, je tedy možné nainstalovat agenta do jakéhokoli prostředí – on premise, cloud, hosting provider apod. Jediné, co je třeba nad rámec software požadavků na instalaci agenta zajistit, je již jen jeho internetová konektivita.

ATOM ONE Agent má tři základní funkce:

1. sběr, zpracování a odeslání informací do služby ATOM ONE

2. testování dostupnosti dalších systémů v lokálním prostředí (zajišťuje např. komponenta ATOM ONE Local Probe),

3. provádět analýzu provozovaných služeb (zajištěno dedikovanými komponenty pro assessment dané služby, např. Active Directory)

Vraťme se ještě ale na chvíli na úplný začátek, k samotné instalaci ATOM ONE agenta. Na Linux operačním systému se jedná o spuštění jednoho skriptu, na Windows Server si můžete vybrat ze dvou typů instalace – pomocí průvodce nebo skriptu.

Obrázek 2: Grafická instalace agenta ATOM ONE

Obrázek 3: Bezobslužná instalace agenta ATOM ONE

Ve všech případech se jedná o činnost, která zákazníkovi nezabere více jak pět minut na jeden server. V případě instalace pomocí skriptu, která je připravena pro použití v centrálních systémech pro instalaci software se jedná o pár desítek sekund. Agent okamžitě po instalaci začne plnit svůj úkol, a tedy již za 15 minut můžete čerpat zpracované informace v portálu služby ATOM ONE.

Obrázek 4: ATOM ONE Central Dashboard

Zpracováváme informace počínaje základní inventurou daného serveru a konče pokročilou analýzou provozované služby. Díky tomu ve službě ATOM ONE naleznete i informace běžné pro klasické monitorovací systémy, jako například seznam nainstalovaných aplikací, konfiguraci a využití hardware prostředků či stav služeb a běžící procesy. I tyto informace jsou totiž pro nás zásadní z pohledu vyhledávání možných zranitelností či potenciálních vektorů útoku.

Obrázek 5: Část pohledu ATOM ONE Server Performance Monitoring

Informace sbíráme a zpracováváme v různých intervalech. Některé pohledy mají informace ne starší než pár minut, jiné obsahují informace za poslední jeden den. Vše samozřejmě v souladu s důležitostí a užitečností zobrazovaných dat.

Abychom byli schopni toto vše zajistit a zároveň náš agent zůstal co nejvíce transparentní pro zákazníky, používá základní funkce operačního systému. Například na operačním systému Windows Server se tedy jedná o soubory, registrové klíče, naplánované úlohy a jednu službu.

Obrázek 6: Základní komponenty agenta ATOM ONE

Jak jsem již zmiňoval, jednou z funkcí agenta je také například kontrola dostupnosti dalších systémů a služeb v lokální síti. Aby byl schopen zákazník definovat parametry nejen pro tento dohled, obsahuje ATOM ONE agent jednou grafickou aplikaci, která slouží právě k těmto účelům. Jelikož je agent pro Windows Server postaven kompletně nad platformou .NET a Windows PowerShell, jsou všechny komponenty dostupné samozřejmě i v Core instalaci.

Obrázek 7: ATOM ONE Agent Configuration na Windows Server instalaci Core

Skvělou zprávou je, že celý agent funguje v základu naprosto autonomně a nevyžaduje žádnou pravidelnou údržbu. Jeho aktualizace se provádějí automaticky, stejně tak si sám aktualizuje všechny podpůrné agenty (Microsoft Monitoring Agent, Microsoft Dependency Agent). Vše se děje v pravidelných intervalech, které nejsou delší než jedna hodina. Díky tomu jsme schopni v případě rozšíření služby ATOM ONE o novou detekci či funkcionalitu, distribuovat odpovídající kolektor a parser na agenty po celém světě, a to bez zásahu zákazníka.

• Chcete se o službě ATOM ONE dozvědět více? Registrujte se na webinář Hackeři nikdy nespí. Vy spíte klidně?

• Přečtěte si další články o ATOM ONE